The present invention relates to a white environment credibility analysis method for multi-index scoring of dedicated hosts, including the following steps: 1) CVE vulnerability scanning; 2) application white list monitoring; 3) peripheral white list monitoring; 4) network traffic white list monitoring; 5) temporary dynamic release file monitoring; 6) dedicated hosts security baseline monitoring; 7) monitoring Multidimensional analysis and statistics of control results. The analysis method can make information security administrators understand the detailed information of white environment credibility more fully and comprehensively through data association of multiple dimensions; add data statistics of multiple time-interval evaluation, and present the changes of white environment credibility in the initial period of outbreak or disclosure to the followers in a dynamic form. Also through more intuitive graphical display effect, in the form of visualization to be displayed, easy for information security managers to draw conclusions.
【技术实现步骤摘要】
用于专用主机的多指标评分的白环境可信度分析方法
本专利技术属于白环境分析术领域,具体涉及一种用于专用主机的多指标评分的白环境可信度分析方法。
技术介绍
目前市场上常见的专用主机防护产品分为两大类:1.基于黑名单的主机防护;2.基于白名单技术的主机防护。常见的基于黑名单的主机防护产品:例如防病毒软件、蠕虫查杀工具等,主要依赖病毒库、蠕虫库等方式实现安全防护,这种技术在发现了威胁时往往已经产生了危害,而且很多重要场合(如内网、涉密网等)常常出现特征库更新不及时的情况。随着主机渗透技术的飞速发展,APT、零日攻击等未知攻击类型成为当今网络空间安全的主要难题。依赖病毒库、蠕虫库的技术手段难以应对这类新型威胁。针对上述技术的分析,提出了基于白名单技术构建各领域专用主机的白环境的理念。通过在IT系统内部或IT系统与内部其他系统、外部网络互联边界处等关键互联节点部署网络监测/防护设备,实时对网络进行采集,并将所有监测数据送到安全管理中心通过统一统计分析和特征提取,根据分析结果对正常、异常、非法、恶意等不同数据流采取不同的安全应对策略,阻断恶意攻击和非法流量,使系统内的数据流保持正常、干净,我们称这样的环境为白环境。将基于白名单技术的专用主机白环境分为:进程白环境、网络流量白环境、外设类的白环境。对于专用主机防护而言,白名单技术可以实现通过部署初期一次固化,来达到永久安全的目标。但是,目前基于白名单技术构建各领域专用主机的白环境的理念虽然取得了一定的研究成果。然而,这些研究成果很大程度上基于一个既定假设:一个新实施或运行很久的专用主机白环境是可信的,实际上,这样的假设与我 ...
【技术保护点】
1.一种用于专用主机的多指标评分的白环境可信度分析方法,其特征在于,所述分析方法包括如下步骤:1)CVE漏洞扫描采用与专用主机通信连接的CVE漏洞扫描模块对专用主机进行CVE漏洞扫描,评估专用主机当前安全情况,建立状态基线,生成CVE漏洞扫描结果并上传至可信度分析单元;2)应用程序白名单监控采用与专用主机通信连接的应用程序白名单监控模块对专用主机的应用程序进行状态基线监控,并对违反专用主机应用程序的元素进行监控和告警,生成应用程序白名单监控结果并上传至可信度分析单元,所述应用程序包括可执行文件和脚本;3)外设白名单监控采用与专用主机通信连接的外设白名单模块对专用主机的外设接口进行状态基线监控,并对违反外设接口的行为进行监控和告警,生成外设白名单监控结果并上传至可信度分析单元;4)网络流量白名单监控采用与专用主机通信连接的网络流量白名单监控模块对专用主机的网络安全规则进行状态基线监控,并对违反网络安全规则的流量进行监控和告警,生成网络流量白名单监控结果并上传至可信度分析单元;5)临时动态释放文件监控采用与专用主机通信连接的临时动态释放文件监控模块对专用主机的临时动态释放文件进行状态基线监 ...
【技术特征摘要】
1.一种用于专用主机的多指标评分的白环境可信度分析方法,其特征在于,所述分析方法包括如下步骤:1)CVE漏洞扫描采用与专用主机通信连接的CVE漏洞扫描模块对专用主机进行CVE漏洞扫描,评估专用主机当前安全情况,建立状态基线,生成CVE漏洞扫描结果并上传至可信度分析单元;2)应用程序白名单监控采用与专用主机通信连接的应用程序白名单监控模块对专用主机的应用程序进行状态基线监控,并对违反专用主机应用程序的元素进行监控和告警,生成应用程序白名单监控结果并上传至可信度分析单元,所述应用程序包括可执行文件和脚本;3)外设白名单监控采用与专用主机通信连接的外设白名单模块对专用主机的外设接口进行状态基线监控,并对违反外设接口的行为进行监控和告警,生成外设白名单监控结果并上传至可信度分析单元;4)网络流量白名单监控采用与专用主机通信连接的网络流量白名单监控模块对专用主机的网络安全规则进行状态基线监控,并对违反网络安全规则的流量进行监控和告警,生成网络流量白名单监控结果并上传至可信度分析单元;5)临时动态释放文件监控采用与专用主机通信连接的临时动态释放文件监控模块对专用主机的临时动态释放文件进行状态基线监控,并对临时动态释放出来的文件进行监控和告警,生成临时动态释放文件监控结果并上传至可信度分析单元;6)专用主机安全基线监控采用与专用主机通信连接的主机安全基线监控模块对专用主机的windows安全基线进行状态基线监控,并对违反专用主机的windows安全基线的行为进行告警,生成专用主机安全基线监控结果并上传至可信度分析单元;7)监控结果的多维分析统计通过设置于所述可信度分析单元内的通用漏洞评价体系CVSS,对上传至可信度分析单元内的CVE漏洞扫描结果、应用程序白名单监控结果、外设白名单监控结果、网络流量白名单监控结果、临时动态释放文件监控结果以及专用主机安全基线监控结果进行评价分析,生成多维雷达图,形成对专用主机白...
【专利技术属性】
技术研发人员:唐志斌,
申请(专利权)人:北京中科兴安技术有限公司,
类型:发明
国别省市:北京,11
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。